Play Ransomware: 900 dan ortiq tashkilotga hujum qilgan jinoyatchilar va unga qarshi CISA tavsiyalari
🔐 2025-yilning may oyiga kelib, dunyo bo‘ylab 900 dan ortiq tashkilot Play ransomware guruhi tomonidan tahdidga uchragani ma’lum bo‘ldi. Bu kiberjinoyat tarixidagi eng yirik va murakkab hujumlardan biri bo‘lib, xalqaro miqyosda xavotir uyg‘otmoqda.
AQSh Federal Qidiruv Byurosi (FBI), Kiberxavfsizlik va Infratuzilma Xavfsizligi Agentligi (CISA), hamda Avstraliya Kiberxavfsizlik Markazi 2025-yil 4-iyun kuni ushbu tahdidga qarshi yangilangan birgalikdagi ogohlantiruv e’lon qildi. Unda Play ransomware’ning asosiy taktikalari, texnikalari, hujum usullari (TTPs) va zararlanish indikatorlari (IOCs) bayon qilingan.
2022-yilning iyun oyida aniqlangan ushbu zararli dastur (Play yoki Playcrypt nomi bilan tanilgan) ilk bor Shimoliy va Janubiy Amerika, shuningdek Yevropadagi bizneslar va muhim infratuzilmalarga hujum qilgan. 2024-yildan boshlab esa faoliyati yanada kengaydi va 2025-yil holatiga ko‘ra 900 dan ortiq tashkilot ushbu guruh tomonidan tahdidga uchragan.
Play ransomware yoki PlayCrypt deb ataluvchi zararli dastur zamonaviy antivirus va EDR tizimlaridan yashirinib qolish uchun har bir hujumda yangi kompilyatsiyalangan fayllardan foydalanadi.
Asosiy xususiyatlari:
- Har bir qurbon uchun maxsus shifrlovchi fayl yaratadi, bu esa uni aniqlashni qiyinlashtiradi.
- Windows va VMware ESXi tizimlariga moslashtirilgan maxsus variantlar mavjud.
- SimpleHelp vositasidagi zaiflik (CVE-2024-57727) orqali tizimlarga kirishadi.
- Qurbonlarga yuborilgan xabarlarda @gmx.de yoki @web.de domenlaridan foydalaniladi.
- Ba’zida qo‘rqituvchi telefon qo‘ng‘iroqlar ham amalga oshiriladi — bu esa ijtimoiy muhitda bosimni kuchaytiradi.
Play guruhi double extortion (ikkilamchi tahdid) modelidan foydalanadi:
- Dastlab, tashkilot tizimlaridan maxfiy ma’lumotlar o‘g‘irlanadi.
- So‘ngra, butun tizimlar shifrlanadi va to‘lov qilinmasa — o‘g‘irlangan ma’lumotlar darknetdagi maxsus sahifada e’lon qilinishi bilan tahdid qilinadi.
🎯 So‘nggi nishonlar orasida Krispy Kreme (donut ishlab chiqaruvchi) va Microchip Technologies (mikrochip yetkazib beruvchi) kabi mashhur kompaniyalar bor.
Play guruhi turli xil vositalardan foydalanadi, jumladan:
| Vosita | Maqsadi |
|---|---|
| AdFind, BloodHound | Tarmoq razvedkasi |
| Mimikatz, WinPEAS | Parol va kirish ma’lumotlarini o‘g‘irlash |
| GMER, IOBit, PowerTool | Himoya tizimlarini o‘chirib qo‘yish |
| PsExec, PowerShell, Cobalt Strike | Masofaviy buyrug‘ yuborish va tizimlarni nazorat qilish |
| WinRAR, WinSCP | Ma’lumotlarni siqish va o‘g‘irlash |
| SystemBC, Plink | Uzoqdan boshqaruv va yashirin aloqalar |
| Process Hacker | Faol jarayonlarni tahlil qilish va bloklash |
| Nekto, Nltest | Tizimdagi zaifliklarni topish va kirishni kengaytirish |
CISA va FBI tomonidan e’lon qilingan tavsiyalarga ko‘ra, tashkilotlar quyidagi choralarni zudlik bilan ko‘rishlari zarur:
- 🌐 Ikki bosqichli autentifikatsiyani (MFA) yoqish – ayniqsa elektron pochta, VPN va muhim tizimlarga kirishda.
- 🔒 Zaxira nusxalarni offline va shifrlangan holatda saqlash.
- 🧩 Vulnerability management tizimlarini doimiy yangilash va barcha yamoqlarni o‘z vaqtida o‘rnatish.
- 🕵️♀️ IOC va YARA qoidalarini kiritish orqali zararli dasturlarni aniqlash imkoniyatini kuchaytirish.
Play ransomware’ning bu darajadagi keng qamrovli tahdidi, global kiberxavfsizlikka bo‘lgan munosabatimizni qayta ko‘rib chiqishga undaydi. Faoliyatini tobora takomillashtirib borayotgan bu guruh nafaqat texnik jihatdan, balki psixologik jihatdan ham kuchli tahdid sanaladi.
🔐 Har bir tashkilot kiberhujumga tayyor turishi, xavfsizlikni eng ustuvor vazifa sifatida ko‘rishi lozim.
📲 Kiberxavfsizlik sohasidagi eng so‘nggi yangiliklar, tahlillar va qo‘llanmalarni birinchi bo‘lib olishni xohlaysizmi?
Unda @uzcert_live rasmiy Telegram kanaliga obuna bo‘ling: 👉 https://t.me/uzcert_live
